【国开搜题】国家开放大学 一网一平台 信息安全基础卷包019 期末考试押题试卷与答案

信息安全基础卷包-019

关注公众号【国开搜题】，回复【试题】获取试题答案

一 、单选题

1. 2011年的冬天，600万中国程序员都曾经注册过的CSDN网站被黑了，一瞬间，几乎所以的网站都会提醒用户修改自己的密码，因为很多时候中国用户都会用同一个密码，如果再仔细回顾这次事件会发现，里面的电子邮件和密码居然都是明文的。从上面的事例可以得出CSDN等网站存在（）的安全漏洞。

A. 不安全的加密存储

B. 安全配置错误

C. 不安全的直接对象引用

D. 传输层保护不足

答案：A
- 关注公众号【国开搜题】，对话框内发送试题，获得答案。

2. 下列关于实现账号权限在管理者、使用者、监督者三类角色间实现相互制衡的说法错误的是（）。

A. 审计员账号仅能监控其他各类用户的操作轨迹及系统日志

B. 管理员账号仅能配置不涉及业务数据及系统功能的普通用户的角色及权限

C. 审核员账号仅能对管理员账号进行相关操作的复核和批准

D. 普通用户仅能使用已授权系统功能，操作未授权的业务数据

答案：D
- 关注公众号【国开搜题】，对话框内发送试题，获得答案。

3. 对于上传的网页页面，若单击上传没有访问控制，就可以通过浏览中直接输入URL访问，可能会导致某些用户在不经过认证的情况下直接上传文件。从以上描述中，可以得出该系统存在（）安全漏洞。

A. 不安全的加密存储

B. 安全配置错误

C. 没有限制的URL访问

D. 传输层保护不足

答案：C
- 关注公众号【国开搜题】，对话框内发送试题，获得答案。

4. 下列不是信息安全的目标的是（）。

A. 可靠性

B. 完整性

C. 机密性

D. 可用性

答案：A
- 关注公众号【国开搜题】，对话框内发送试题，获得答案。

5. 一个可以对任意长度的报文进行加密和解密的加密算法称为（）。

A. 链路加密渝粤题库，我们的目标是要做全覆盖、全正确的答案搜索服务。

B. 流量加密

C. 端对端加密

D. 流加密

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

6. 下列危害中，（）不是由不安全的直接对象而造成的。

A. 用户无需授权访问其他用户的资料

B. 用户无需授权访问支撑系统文件资料

C. 用户无需授权访问权限外信息

D. 进行非法转账

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

7. 仅设立防火墙系统，而没有（），防火墙就形同虚设。

A. 管理员

B. 安全操作系统

C. 安全策略

D. 防毒系统

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

8. 下列关于缓冲区溢出的说法错误的是（）。

A. 缓冲区溢出是在数据像缓冲区复制的过程中，没有注意缓冲区的辩解，导致超出缓冲区容量的数据填充到缓冲区时覆盖了和缓冲区相邻的其他数据而引起的内存问题。

B. 缓冲区溢出漏洞不能修改内存中变量的值，甚至能劫持进程，执行恶意代码，最终获得主机的控制权

C. charbuffer[256];strcpy(buffer,str)以上代码存在缓冲区溢出

D. strlcpy是UNIX下strcpy的安全版本

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

9. 下列关于密钥管理说法错误的是（）。

A. 密钥的生产一定要保证密钥的随机性

B. 密钥的存储在加密的文件系统或者数据库系统中时，应该限制能够访问这些数据的用户，不应该让一般的用户或者任意用户访问到这些数据

C. 如果密钥已经被泄漏或者生命周期结束，需要提供清除密钥的功能，使改密钥被恰当地销毁

D. 使用Math.random()和java.util.Random()随机数生成函数，可以保证密钥的随机性

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

10. 数据加密标准DES是一种分组密码，将明文分成大小（）位的块进行加密，密钥长度为（）位。

A. 128，32

B. 128，56

C. 64，32

D. 64，56

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

11. 容易受到会话劫持攻击的是（）。

A. HTTPS

B. TELNET渝粤搜题

C. SFTP

D. SSH

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

12. 下列不是操作系统安全配置的是（）。国开一网一平台

A. 系统所有用户的密码都必须符合一定的复杂度

B. 当前在用的操作系统没有已知的安全漏洞

C. 为了方便用户使用，应启动FTP服务

D. 禁止启动不用的服务，例如Telnet、SMTP等

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

13. 下列攻击方式中，既属于身份冒领，也属于IP欺骗的是（）。

A. 目录遍历

B. ARP攻击

C. 网页盗链

D. 溢出攻击

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

14. 溢出攻击的核心是（）。

A. 修改堆栈记录中进程的返回地址

B. 利用Shellcode

C. 提升用户进程权限

D. 捕捉程序漏洞

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

15. 下列危害中，（）不是由失效的身份认证和会话管理造成的。

A. 窃取用户凭证和会话信息

B. 访问未授权的页面和资源

C. 网页挂马

D. 执行超越权限的操作

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

16. 关于信息内网网络边界安全防护说法不准确的是（）。

A. 要按照公司总体防护方案要求进行

B. 纵向边界的网络访问可以不进行控制

C. 应加强信息内网网络横向边界的安全防护

D. 要加强上、下级单位和同级单位信息内网网络边界的安全防护

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

17. PKI支持的服务不包括（）。渝粤教育

A. 非对称密钥技术及证书管理

B. 目录服务

C. 对称密钥的产生和分发

D. 访问控制服务

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

18. （）加强了WLAN的安全性。它采用了802.1x的认证协议、改进的密钥分布架构和AES加密。渝粤题库

A. 802.11i

B. 802.11j

C. 802.11n

D. 802.11e

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。国开一网一平台

19. （）不是基于用户特征的身份标识与鉴别。

A. 指纹国开搜题

B. 虹膜

C. 视网膜

D. 门卡

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

20. 在网络的规划和设计中，可以通过（）划分网络结构，将网络划分成不同的安全域。

A. IPS

B. IDS

C. 防火墙

D. 防病毒网关

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

二 、判断题

1. 在信息安全中，主体、客体及控制策略为访问控制三要素。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

2. 会话固定是攻击者偷走受害者与服务器建立连接的会话。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

3. 漏洞补丁系统中可检索漏洞信息项包括漏洞编号、漏洞名称、漏洞级别、详细描述、解决方案。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

4. 用户界面应提供详细的功能，确保用户能通过用户界面直接访问数据或者直接访问被保护对象。渝粤题库渝粤教育

A. √

B. ×渝粤教育

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

5. 跨站脚本欺骗漏洞能造成用户非法转账的危害。国开搜题

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

6. 仅在客户端进行安全验证是安全的，不需要在服务器端进行验证。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

7. 上传任意文件漏洞能够使攻击者通过上传木马文件，最终获得目标服务器的控制权限。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

8. 利用互联网传播已经成为了计算机病毒传播的一个发展趋势。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

9. 审计日志应至少包含以下内容：用户ID或引起这个事件的处理程序ID事件的日期、时间戳、事件类型、事件内容、事件是否成功，请求的来源、用户敏感信息。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

10. 防火墙可以解决来自内部网络的攻击。

A. √

B. ×

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

三 、多选题

1. 下列关于系统管理员和数据库管理员权限的说法正确的是()

A. 在人员不足时，系统管理员能同时拥有数据库管理员(DBA)的权限

B. 数据库管理员为了方便应用系统的数据库管理员操作数据库，应为所有的应用数据库的管理员授予DBA的权限

C. 不同应用数据库的管理员一般不能具备访问其他应用数据库的权限

D. 系统上线后，应删除测试账户，严禁系统开发人员掌握系统管理员口令

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

2. 属于安全闭环组成部分的是（）

A. 检测

B. 响应渝粤搜题

C. 防护

D. 预警

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

3. 数字证书含有的信息包括（）

A. 用户的名称

B. 用户的公钥渝粤教育

C. 用户的私钥

D. 证书有效期

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

4. 下列关于跨站请求伪造的说法正确的是（）

A. 只要你登陆一个站点A且没有退出，则任何页面都以发送一些你有权限执行的请求并执行

B. 站点A的会话持续的时间越长，受到跨站请求伪造攻击的概率就越大

C. 目标站点的功能采用GET还是POST并不重要，只不过POST知识加大了一点点跨站请求伪造的难度而已

D. 有时候负责的表单采用多步提交的方式防止跨站请求伪造攻击其实并不可靠，因为可以发送多个请求来模拟多步提交渝粤教育

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

5. （）不能有效地进行数据保护

A. 明文存储数据

B. 使用自发明的加密算法

C. 使用弱加密或者过时的加密算法

D. 使用足够强度的加密算法

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

6. 云计算按照服务类型大致可分为（）

A. IaaS

B. PaaS

C. SaaS

D. VaaS

答案：关注公众号【国开搜题】，对话框内发送试题，获得答案。

关注公众号【国开搜题】，回复【试题】获取试题答案

渝粤题库